CVE-2023-45136 — 神龙十问 AI 深度分析摘要
CVSS 9.7 · Critical
本页是神龙十问 AI 深度分析的
摘要版。完整版(更长回答、追问、相关漏洞)需
登录查看 →Q1这个漏洞是什么?(本质+后果)
🚨 **本质**:XWiki 平台存在**反射型 XSS** 漏洞。 💥 **后果**:攻击者可通过构造恶意链接,在用户浏览器中执行任意脚本,导致**会话劫持**或**敏感数据泄露**。
Q2根本原因?(CWE/缺陷点)
🔍 **CWE**:CWE-79 (跨站脚本)。 📍 **缺陷点**:文档名称验证逻辑存在缺陷。当启用**名称策略**(Name Strategy)验证文档名时,未正确过滤或转义输入,导致恶意脚本注入。
Q3影响谁?(版本/组件)
📦 **产品**:XWiki Platform。 📅 **版本**: - **受影响**:12.0-rc-1 至 12.10.11 - **受影响**:15.0 至 15.5-rc-1 ⚠️ 注意:默认情况下名称策略是**禁用**的。
Q4黑客能干啥?(权限/数据)
🕵️ **权限**:利用受害用户的**登录权限**执行操作。 💾 **数据**:可窃取 Cookie、Session ID、用户输入内容等敏感信息。 🔄 **行为**:执行任意前端动作,如重定向、弹窗、表单提交等。
Q5利用门槛高吗?(认证/配置)
🚪 **门槛**:中等。 🔑 **认证**:无需认证即可触发漏洞逻辑,但需用户**点击恶意链接**(UI:R)。 ⚙️ **配置**:需管理员**启用**“名称策略”验证(默认禁用)。若未启用,则不受影响。
Q6有现成Exp吗?(PoC/在野利用)
🧪 **PoC**:有现成模板。 🔗 **来源**:ProjectDiscovery Nuclei 模板已收录(CVE-2023-45136.yaml)。 🌍 **在野**:数据未明确提及大规模在野利用,但 PoC 公开意味着利用门槛降低。
Q7怎么自查?(特征/扫描)
🔎 **自查方法**: 1. 检查 XWiki 版本是否在受影响范围内。 2. 确认是否启用了**名称策略**(Name Strategy)。 3. 使用 Nuclei 扫描模板进行自动化检测。 4. 观察页面创建表单中是否有未过滤的脚本注入点。
Q8官方修了吗?(补丁/缓解)
🛡️ **官方修复**:已修复。 📌 **补丁版本**: - 12.10.12 及以上 - 15.5-rc-1 及以上 🔗 **参考**:GitHub Commit ba56fda 及安全公告 GHSA-qcj9-gcpg-4w2w。
Q9没补丁咋办?(临时规避)
🛑 **临时规避**: 1. **禁用名称策略**:在默认配置下该漏洞不可利用,确保该功能保持关闭。 2. **WAF 防护**:部署 Web 应用防火墙,过滤反射型 XSS 特征。 3. **输入验证**:加强前端和后端对文档名称的输入校验。
Q10急不急?(优先级建议)
⚡ **优先级**:高。 📊 **CVSS**:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H (严重)。 💡 **建议**:虽然默认配置下风险较低,但一旦启用名称策略,风险极高。建议**立即升级**至安全版本或确认策略已禁用。